Аналитик по безопасности Microsoft

Microsoft Security Operations Analyst

Изучите как расследовать, реагировать и искать угрозы с помощью Microsoft Azure Sentinel, Azure Defender и Microsoft 365 Defender. Из курса вы узнаете, как уменьшить киберугрозы с помощью этих технологий. В частности, вы будете настраивать и использовать Azure Sentinel, а также использовать язык запросов Kusto (KQL) для обнаружения, анализа и создания отчетов. Курс был разработан для специалистов, работающих в сфере обеспечения безопасности, и помогает в подготовке к экзамену «SC-200: Аналитик по безопасности Microsoft (Microsoft Security Operations Analyst)».

Приобретаемые знания и навыки

По окончании курса слушатели смогут:

  • объяснять, как Microsoft Defender для Endpoint может устранять риски в вашей среде;
  • создавать Microsoft Defender для среды Endpoint;
  • настраивать правила уменьшения области атаки на устройствах с Windows 10;
  • выполнять действия на устройстве с помощью Microsoft Defender для Endpoint;
  • расследовать домены и IP-адреса в Microsoft Defender для Endpoint;
  • расследовать учетные записи пользователей в Microsoft Defender для Endpoint;
  • настраивать параметры предупреждений в Microsoft Defender для Endpoint;
  • объяснять, как меняется ландшафт угроз;
  • проводить расширенную охоту в Microsoft 365 Defender;
  • управлять инцидентами в Microsoft 365 Defender;
  • объяснять, как Microsoft Defender для идентификации может устранять риски в вашей среде;
  • изучить предупреждения DLP в Microsoft Cloud App Security;
  • объяснять типы действий, которые вы можете предпринять, работая с обращениями с инсайдерскими рисками;
  • настраивать автоматическую подготовку в Azure Defender;
  • исправлять предупреждения в Azure Defender;
  • создавать операторы KQL;
  • фильтровать поиск по времени события, серьезности, домену и другим релевантным данным с помощью KQL;
  • извлекать данные из неструктурированных строковых полей с помощью KQL;
  • управлять рабочим пространством Azure Sentinel;
  • использовать KQL для доступа к списку наблюдения в Azure Sentinel;
  • управлять индикаторами угроз в Azure Sentinel;
  • объяснять различия в формате общих событий и коннектора системного журнала в Azure Sentinel;
  • подключать виртуальные машины Windows Azure к Azure Sentinel;
  • настраивать агента Log Analytics для сбора событий Sysmon;
  • создавать новые правила и запросы аналитики с помощью мастера правил аналитики;
  • создавать сценарий для автоматизации реагирования на инциденты;
  • использовать запросы для поиска угроз;

Целевая аудитория

Аналитики по безопасности Microsoft сотрудничают с заинтересованными сторонами в организации для обеспечения безопасности ИТ-систем в организации. Их цель - снизить организационный риск за счет быстрого устранения активных атак в среде, предоставляя рекомендации по усовершенствованию методов защиты от угроз и направления нарушений политики организации соответствующим заинтересованным сторонам. В обязанности специалиста входит управление угрозами, мониторинг и реагирование с использованием различных решений безопасности в своей среде. Аналитики в первую очередь исследуют угрозы, реагируют на них и отслеживают их с помощью Microsoft Azure Sentinel, Azure Defender, Microsoft 365 Defender и сторонних продуктов безопасности. Поскольку аналитики операционной безопасности использует результаты работы этих инструментов, они также являются критически важными заинтересованными сторонами при настройке и развертывании данных технологий.

Предварительные требования

Для эффективного обучения на данном курсе, слушатели должны обладать знаниями:

  • базовое понимание Microsoft 365;
  • базовое понимание продуктов Microsoft для обеспечения безопасности, соответствия требованиям и идентификации;
  • среднее понимание Windows 10;
  • ознакомленность со службами Azure, в частности с базой данных SQL Azure и хранилищем Azure;
  • ознакомленность с виртуальными машинами Azure и виртуальными сетями;
  • базовое понимание концепций создания сценариев.

Программа курса

1. Устранение угроз с помощью Microsoft Defender для Endpoint

  • Защита от угроз с помощью Microsoft Defender для Endpoint
  • Развертывание Microsoft Defender для среды Endpoint
  • Внедрение улучшений безопасности Windows 10 с помощью Microsoft Defender для Endpoint
  • Управление предупреждениями и инцидентами в Microsoft Defender для Endpoint
  • Выполнение расследований на устройстве в Microsoft Defender для Endpoint
  • Выполнение действий на устройстве с помощью Microsoft Defender для Endpoint
  • Выполнение расследования доказательств и сущностей с помощью Microsoft Defender для Endpoint
  • Настройка и управление автоматизацией с помощью Microsoft Defender для Endpoint
  • Настройка предупреждений и обнаружений в Microsoft Defender для Endpoint
  • Использование управления угрозами и уязвимостями в Microsoft Defender для Endpoint

2. Устранение угроз с помощью Microsoft 365 Defender

  • Введение в защиту от угроз с помощью Microsoft 365
  • Устранение инцидентов с помощью Microsoft 365 Defender
  • Защита идентификаций с помощью Azure AD Identity Protection
  • Устранение рисков с помощью Microsoft Defender для Office 365
  • Защита среды с помощью Microsoft Defender для идентификации
  • Защита облачных приложений и сервисов с помощью Microsoft Cloud App Security
  • Реакция на предупреждения о предотвращении потери данных с помощью Microsoft 365
  • Управление внутренними рисками в Microsoft 365

3. Устранение угроз с помощью Azure Defender

  • Планирование защиты облачных рабочих нагрузок с помощью Azure Defender
  • Объяснение защиты облачных рабочих нагрузок в Azure Defender
  • Подключение ресурсов Azure к Azure Defender
  • Подключение ресурсов, не относящихся к Azure, к Azure Defender
  • Исправление предупреждений системы безопасности с помощью Azure Defender

4. Создание запросов для Azure Sentinel с помощью языка запросов Kusto (KQL)

  • Создание инструкций KQL для Azure Sentinel
  • Анализ результатов запроса с помощью KQL
  • Создание многотабличных операторов с помощью KQL
  • Работа с данными в Azure Sentinel с помощью языка запросов Kusto

5. Настройка среды Azure Sentinel

  • Введение в Azure Sentinel
  • Создание рабочих областей Azure Sentinel и управление ими
  • Журналы запросов в Azure Sentinel
  • Использование списков наблюдения в Azure Sentinel
  • Использование аналитики угроз в Azure Sentinel

6. Подключение журналов к Azure Sentinel

  • Подключение данных к Azure Sentinel с помощью коннекторов данных
  • Подключение служб Microsoft к Azure Sentinel
  • Подключение Microsoft 365 Defender к Azure Sentinel
  • Подключение хостов Windows к Azure Sentinel
  • Подключение журналов общего формата событий к Azure Sentinel
  • Подключение источников данных системного журнала к Azure Sentinel
  • Подключение индикаторов угроз к Azure Sentinel

7. Создание обнаружения и проведение расследования с помощью Azure Sentinel

  • Обнаружение угроз с помощью аналитики Azure Sentinel
  • Реагирование на угрозы с помощью сценариев Azure Sentinel
  • Управление инцидентами безопасности в Azure Sentinel
  • Использование аналитики поведения сущностей в Azure Sentinel
  • Запрос, визуализация и мониторинг данных в Azure Sentinel

8. Выполнение поиска угроз в Azure Sentinel

  • Охота на угрозы с помощью Azure Sentinel
  • Поиск угроз с помощью записных книжек в Azure Sentinel

Документы об окончании курса

  • Справка об обучении установленного образца и сертификат учебного центра Softline
  • Сертификат Microsoft об окончании авторизованного курса

microsoft certificate Cправка об обучении Softline certificate

Оставить отзыв

Информация о курсе

Вендор: Microsoft
Код курса: SC-200T00
Продолжительность: 4 дня / 32 ак. часа
Направление: Azure
Экзамен :

SC-200

Записаться на курс

Название курса и комментарии*

Имя*

Фамилия*

Отчество*

Компания

Телефон*

Email*

Настоящим, в соответствии с ч.2.ст.18 Закона Республики Беларусь от 10.11.2008 N 455-З(ред. от 11.05.2016) "Об информации, информатизации и защите информации" и Законом Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных», отправляя данную форму, вы подтверждаете свое согласие на сбор, обработку и хранение ООО «СофтЛайнБел» Ваших персональных данных. ООО «СофтЛайнБел» гарантирует конфиденциальность получаемой от Вас информации. Сбор, обработка и хранение персональных данных осуществляется в целях эффективного оказания услуг и исполнения договоров.